플레이북
입문 13

크립토 보안 완전 가이드

해킹, 피싱, 러그풀... 내 자산을 지키는 보안 수칙 총정리.

왜 크립토 보안이 중요한가?

크립토는 은행과 달리 "되돌리기"가 없어. 한 번 보내면 끝이야. 해킹당하거나 사기에 걸리면 돈을 되찾을 방법이 거의 없지.

크립토 피해 현실:
- 2024년 크립토 해킹 피해: 약 $18억
- 피싱 사기 피해: 연간 수억 달러
- 러그풀(먹튀) 피해: 매년 수천 건

은행과의 차이:
- 은행: 비밀번호 분실 → 재설정 가능, 사기 이체 → 환불 가능
- 크립토: 시드 구문 분실 → 영원히 잃음, 사기 전송 → 되돌리기 불가

좋은 소식: 기본적인 보안 수칙만 지키면 99%의 위험을 피할 수 있어. 이 가이드의 내용만 실천하면 충분해.

피싱 사기 완전 대응법

피싱은 크립토에서 가장 흔한 사기 수법이야. 가짜 사이트나 메시지로 개인정보를 빼내는 거지.

주요 피싱 유형:

1. 가짜 사이트
- metamask.io가 아닌 metamaskk.io, met4mask.io 같은 사이트
- 구글 검색 광고로 가짜 사이트가 상단에 뜨기도 해
- 대응: URL을 직접 입력하거나 북마크 사용. 검색으로 접속하지 마

2. 디스코드/텔레그램 DM
- "지원팀입니다. 지갑을 연결해주세요" → 100% 사기
- "에어드랍을 받으려면 여기 접속하세요" → 대부분 사기
- 대응: 공식 채널만 사용, DM은 무시

3. 이메일 피싱
- "귀하의 바이낸스 계정이 정지되었습니다" → 가짜 로그인 페이지 유도
- 대응: 이메일 발신 주소 확인, 직접 거래소 접속

4. 가짜 에어드랍 토큰
- 지갑에 모르는 토큰이 갑자기 들어옴
- 스왑하거나 승인하면 지갑이 털림
- 대응: 절대 건드리지 말고 무시

황금 규칙: 시드 구문/프라이빗 키를 물어보면 무조건 사기야. 어떤 공식 서비스도 이걸 요구하지 않아.

지갑 보안 강화하기

시드 구문 관리 (가장 중요!):
- 종이에 적어서 2곳 이상에 보관 (방수 팩 추천)
- 절대 디지털로 저장하지 마 (사진, 메모장, 클라우드 전부 X)
- 금속판에 각인하면 화재/수해에도 안전 (Cryptosteel, Billfodl)

승인(Approve) 관리:
DeFi를 쓸 때 토큰 사용 권한을 승인하게 되는데, 이게 위험할 수 있어.
- 무제한 승인은 피하기 → 필요한 금액만 승인
- 사용 후 revoke.cash에서 불필요한 승인 취소
- 주기적으로 (월 1회) 승인 내역 체크

지갑 분리 전략:
하나의 지갑에 모든 걸 넣지 마. 최소 2-3개로 분리해.
- 볼트 지갑: 큰 자산 보관용 (콜드월렛 추천). DApp 연결 절대 안 함
- 활동 지갑: DeFi, NFT 민팅용. 소액만 넣어둠
- 버너 지갑: 새 프로젝트 테스트, 에어드랍 파밍용. 털려도 OK

핫월렛 보안:
- 자동 잠금 시간 짧게 설정
- 브라우저 확장 프로그램 최소화 (악성 확장 주의)
- 공공 Wi-Fi에서 지갑 사용 금지
- 피싱 방지 확장 프로그램 설치 (Wallet Guard 등)

거래소 보안 체크리스트

거래소에 자산을 두는 경우 반드시 지켜야 할 보안 설정들:

필수 설정 5가지:

1. 2FA (2단계 인증)
- SMS 인증은 SIM 스와핑 공격에 취약 → 앱 인증 사용
- Google Authenticator 또는 Authy 추천
- 백업 코드를 종이에 적어 보관

2. 출금 화이트리스트
- 자주 쓰는 출금 주소만 미리 등록
- 새 주소 추가 시 24시간 제한 활성화
- 해커가 접근해도 등록 안 된 주소로는 출금 불가

3. 피싱 방지 코드
- 바이낸스, OKX 등에서 설정 가능
- 거래소에서 오는 이메일에 내가 설정한 코드가 표시됨
- 코드가 없는 이메일 = 피싱

4. 기기 관리
- 로그인된 기기 목록 주기적 확인
- 안 쓰는 기기 즉시 제거
- 새 기기 로그인 알림 활성화

5. API 키 관리
- 사용 안 하는 API 키는 삭제
- API 키에 출금 권한은 절대 주지 마
- IP 화이트리스트 설정

러그풀과 사기 프로젝트 구별법

러그풀(Rug Pull)은 개발팀이 투자금을 모은 뒤 도망가는 사기야. 이걸 미리 알아차리는 방법:

위험 신호 7가지:
1. 익명 팀 — 팀원이 누구인지 공개 안 하면 도망가기 쉬워
2. 감사(Audit) 없음 — 스마트 컨트랙트 검증 안 받은 프로젝트
3. 유동성 잠금 안 됨 — LP 토큰이 잠금 해제되면 언제든 빼갈 수 있어
4. 비현실적 수익 약속 — "일 10% 수익 보장" 같은 건 99% 사기
5. 커뮤니티에서 질문 차단 — 의심 질문하면 밴당하는 프로젝트
6. 코드 복붙 — GitHub 없거나 다른 프로젝트 코드를 그대로 복사
7. 토큰 분배 집중 — 소수 지갑이 공급량의 대부분을 보유

확인 도구:
- Token Sniffer (tokensniffer.com): 토큰 스마트 컨트랙트 분석
- RugDoc (rugdoc.io): DeFi 프로젝트 리스크 등급
- DexScreener (dexscreener.com): 유동성, 홀더 분포 확인
- Etherscan/Solscan: 컨트랙트 코드, 대량 보유자 확인

기억해: 투자하기 전에 최소 30분은 리서치해. "DYOR (Do Your Own Research)"는 크립토의 생존 규칙이야.